LM ログで使用する Windows イベント ログ チャネルの定義
最終更新日: 02 年 2025 月 XNUMX 日DataSource を使用して LM で Windows イベント ログを取り込むには、Windows イベント ログ チャネルを定義する必要があります。Windows イベント ログ チャネルは、Windows イベント ビューアー内でさまざまな種類の Windows イベント ログを整理して保存するために使用される、定義済みまたはカスタムのカテゴリです。これらのチャネルは、目的、発生元、またはコンテンツに基づいてログを分類するのに役立ちます。
LogicModules を設定して、標準の Windows イベント ログ チャネル (セキュリティ、システム、アプリケーション) からログを取得することができます。 — またはサードパーティ アプリケーションによって作成されたカスタム チャネル。標準の Windows イベント チャネルの使用はベスト プラクティスと考えられていますが、特定のユース ケースではカスタム チャネルを利用することもできます。
Windows イベント ログ チャネルを識別するための要件
Windows イベント ログ チャネルを識別するには、次のものが必要です。
- イベント ログ チャネルを識別するには、使用している Windows マシンの管理者権限が必要です。これは、イベント ビューアーで設定にアクセスしてログに記録し、PowerShell コマンドを実行するために必要です。
- PowerShell コマンドを実行できる Windows マシンを使用する必要があります。リモート マシンでログを管理する場合は、リモート アクセスに対して PowerShell が有効になっていることを確認してください。
Windows イベント ログ チャネルの定義
利用可能な Windows イベント ログ チャネルを取得するには、次の PowerShell コマンドを使用します。これらは、Windows イベント データ ソース構成のチャネル定義として使用されます。
- 管理者として PowerShell に次のいずれかのコマンドを入力します。
- 標準の順序でリストされたチャネルを表示するには、次のコマンドを実行します。
Get-WinEvent -ListLog *- よりアクティブなチャネルをリストの先頭に並べ替えるには、次のコマンドを実行します。
Get-WinEvent -ListLog * | sort RecordCount -Descending- リモート コンピューター上に存在するチャネルを表示するには、次のコマンドを実行します。
Get-WinEvent -ListLog * -ComputerName - 出力を確認します。
これには、チャネルのリストと、現在それらのチャネルにあるイベント レコードの数が含まれます。
- 出力では、LogName列に、説明値として入力するチャネル名が含まれています。
lmlogs.winevent.channelsWindows サーバーまたはグループのプロパティ。
または、次のコマンドのいずれかを実行して、コマンド ラインからチャネル名のリストを取得することもできます。
- ローカル マシン上のチャネル名のリストを取得するには、次のコマンドを実行します。
rem List channels on the local system
wevtutil.exe enum-logs- リモート マシン上のチャネル名のリストを取得するには、次のコマンドを実行します。
rem List channels on a remote system
wevtutil.exe enum-logs /remote:- 使用している LogicModule (LogSource や DataSource など) に応じて、該当するフィールドにチャネル名を入力します。チャネル名はスペースなしでコンマで区切られていることを確認してください。
以下は、含まれている出力から 3 つの標準チャネルと上位 5 つの最もアクティブなカスタム チャネルからイベントを収集する構成の例です。
アプリケーション、システム、セキュリティ、Microsoft-Windows-Store/Operational、Microsoft-Windows-GroupPolicy/Operational、Microsoft-Windows-StateRepository/Operational、Windows Powershell、Microsoft-Windows-AppXDeploymentServer/Operational